目录
NTDS.dit
在活动目录中,所有的数据都保存在域控的 ntds.dit 文件中。ntds.dit是一个二进制文件,文件路径为域控的 %SystemRoot%\ntds\ntds.dit 。NTDS.dit 包含不限于用户名、散列值、组、GPP、OU等活动目录的信息。它和SAM文件一样,默认是被Windows系统锁定的。在一般情况下,系统运维人员会利用卷影拷贝服务(Volume Shadow Copy Service,VSS)实现这些操作。VSS本质上是属于快照技术的一种,主要用于备份和恢复,即使目标文件被处于锁定状态。
通过ntdsutil.exe提取NTDS.dit
ntdsutil.exe是一个为活动目录提供管理机制的命令行工具。使用ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级的域控留下的元数据等。该工具默认安装在域控上,可以在域控上直接操作,也可以通过域内机器在域控上远程操作。ntdsutil.exe支持的操作系统有Windows Server2003、Windows Server2008、Windows Server2012。
通过如下命令从域控中提供ntds.dit文件,需要域管理员权限操作
#创建快照,该快照包含Windows中的所有文件,且在复制时不会受到Windows锁定机制的影响
ntdsutil snapsh